資安研究人員揭露SAP NetWeaver Visual Composer存在一個滿分10.0分的關鍵漏洞:CVE-2025-31324,目前正被駭客積極利用來上傳惡意網頁命令執行介面(Web Shell),進而完全控制受影響系統。
漏洞技術細節
此漏洞存在於SAP NetWeaver 7.xx版本的Visual Composer「developmentserver」元件中,Metadata Uploader功能缺少適當的授權檢查機制。漏洞的技術分類為:
- CWE-862(缺少授權檢查)
- CWE-306(缺少關鍵功能的身份驗證)
由於缺少適當的授權檢查,未經身份驗證的攻擊者可通過HTTP/HTTPS遠端利用此漏洞,具體攻擊路徑為:
/developmentserver/metadatauploader 。攻擊者無需登錄或任何身份驗證就能向此路徑發送特製的POST請求,上傳任意惡意檔案到系統中,並以SAP系統管理員權限執行指令。
實際攻擊分析
根據資安公司ReliaQuest和Onapsis的調查,攻擊者主要通過以下步驟進行攻擊:
- 向漏洞路徑發送特製請求,上傳JSP格式的網頁命令執行介面(Web Shell)
- 將惡意網頁命令執行介面(常見檔名為helper.jsp或cache.jsp)上傳至以下目錄:j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/
- 發送GET請求執行網頁命令執行介面(Web Shell)
- 利用Brute Ratel工具和Heaven's Gate技術建立命令控制通道,進行後續滲透活動
Rapid7的MDR團隊觀察到,除了helper.jsp外,攻擊者還使用隨機8字元的檔名,如cglswdjp.jsp或ijoatvey.jsp。值得注意的是,
部分攻擊活動可追溯至2025年3月27日,主要針對製造業企業。
影響範圍評估
根據Onapsis的研究顯示,此漏洞影響約50%至70%的現有SAP NetWeaver應用伺服器Java版(SAP NetWeaver Application Server Java)。Shadowserver基金會表示,目前全球約有450個可通過網路訪問的易受攻擊SAP NetWeaver實體,主要分佈在美國、印度、澳大利亞、中國和歐洲。此漏洞影響的是具有以下特徵的系統:
- SAP NetWeaver 7.xx版本
- 安裝了VCFRAMEWORK元件(特別是7.5版本以下,或7.0版本且支援包低於16)
防護措施
SAP已在4月24日發布緊急更新修補此漏洞。針對無法立即更新的企業,SAP和資安專家建議:
- 立即套用SAP官方修補程式:SAP Security Note 3594142
- 若無法立即更新,應限制對Metadata Uploader元件的訪問
- 如非必要使用,應停用Visual Composer功能
企業可通過以下方式檢查系統是否已被入侵:
- 檢查以下目錄中是否存在可疑的.jsp、.java或.class檔案:
- \irj\root
- \irj\work
- \irj\work\sync
- 使用Onapsis發布的開源掃描工具檢查:
- 系統是否存在受影響元件
- 是否已應用修補程式
- 是否存在已知的網頁命令執行介面
資安專家警告,若發現入侵跡象,應擴大調查範圍以確定其他系統和網路是否已被入侵,並進行全面清除。
由於此漏洞無需身份驗證即可遠端利用,且能導致完全系統控制,企業應立即採取行動評估風險並實施修補措施。資安人員應密切關注SAP的最新安全公告:SAP Note 3596125和SAP KBA 3593336獲取更多技術細節和防護指引。